Wprowadzenie do problemu / definicja
Narodowy Instytut Standaryzacji i Technologii (NIST) ogłosił zmianę modelu obsługi wpisów w National Vulnerability Database (NVD), odpowiadając na szybki wzrost liczby zgłoszeń CVE. Zamiast utrzymywać pełne wzbogacanie wszystkich rekordów, instytucja przechodzi na podejście oparte na priorytetyzacji ryzyka.
W praktyce oznacza to, iż najszybciej analizowane i uzupełniane będą podatności aktywnie wykorzystywane w atakach, a także luki dotyczące systemu krytycznego i wykorzystywanego przez administrację federalną. To istotna zmiana dla całego ekosystemu zarządzania podatnościami, ponieważ NVD od lat pełni rolę jednego z najważniejszych źródeł metadanych o lukach bezpieczeństwa.
W skrócie
Od 15 kwietnia 2026 r. NIST wdrożył nowy model priorytetyzacji wzbogacania danych w NVD. Najwyższy priorytet otrzymują wpisy CVE znajdujące się w katalogu CISA Known Exploited Vulnerabilities (KEV), podatności dotyczące systemu używanego przez sektor federalny oraz luki w oprogramowaniu uznanym za krytyczne.
Pozostałe rekordy przez cały czas będą publikowane w bazie, jednak część z nich może otrzymać status „Not Scheduled”. Oznacza to, iż wpis będzie widoczny w NVD, ale bez szybkiego i pełnego uzupełnienia o dodatkowe informacje analityczne.
- Priorytet dla CVE z katalogu KEV
- Szybsza obsługa podatności w oprogramowaniu krytycznym
- Status „Not Scheduled” dla wielu mniej pilnych rekordów
- Mniejsze uzależnienie od pełnej, manualnej analizy wszystkich zgłoszeń
Kontekst / historia
Presja na NVD narastała od kilku lat. Baza nie była już wyłącznie rejestrem identyfikatorów CVE, ale także centralnym źródłem dodatkowych danych, takich jak klasyfikacje CWE, mapowania CPE czy oceny CVSS przygotowywane przez NIST. Wraz ze wzrostem liczby zgłaszanych podatności utrzymanie takiego modelu zaczęło przekraczać możliwości operacyjne programu.
Według danych przedstawionych przez NIST liczba zgłoszeń CVE wzrosła o 263% w latach 2020–2025. Dodatkowo pierwszy kwartał 2026 r. przyniósł dalszy wzrost napływu rekordów, co pogłębiło zaległości i wymusiło zmianę podejścia. choćby wysoki poziom produkcji analitycznej w 2025 r. nie wystarczył do utrzymania pełnej obsługi wszystkich nowych wpisów.
Decyzja NIST oznacza formalne odejście od modelu „wzbogacamy wszystko” na rzecz modelu „najpierw obsługujemy to, co ma najwyższą wartość operacyjną”. To dostosowanie do realiów, w których wolumen nowych podatności stale rośnie, a organizacje oczekują szybkich danych przede wszystkim tam, gdzie zagrożenie jest rzeczywiste i bieżące.
Analiza techniczna
Wzbogacanie wpisu CVE w NVD polega na dodawaniu danych, które są najważniejsze dla praktycznego zarządzania ryzykiem. Chodzi między innymi o wektory i oceny CVSS, klasyfikacje CWE, informacje o dotkniętych produktach oraz inne metadane wspierające automatyzację skanowania, priorytetyzacji i procesów patch managementu.
W nowym modelu wszystkie CVE przez cały czas trafiają do bazy, ale tylko część z nich będzie obsługiwana priorytetowo. Dotyczy to trzech głównych kategorii: podatności z katalogu CISA KEV, podatności odnoszących się do systemu używanego przez administrację federalną oraz luk w oprogramowaniu krytycznym wskazanym w politykach rządowych.
Szczególne znaczenie ma katalog KEV, ponieważ obejmuje podatności potwierdzone jako aktywnie wykorzystywane. Dla takich wpisów NIST zakłada bardzo szybkie wzbogacenie, docelowo w ciągu jednego dnia roboczego od otrzymania. To przesuwa punkt ciężkości z teoretycznej oceny nasilenia na praktyczne znaczenie operacyjne.
Rekordy niespełniające nowych kryteriów mogą otrzymać status „Not Scheduled”. Taki wpis pozostanie publicznie dostępny, ale może nie zawierać pełnych metadanych, do których użytkownicy przywykli w poprzednim modelu działania NVD. NIST pozostawia jednak możliwość zgłaszania potrzeby wzbogacenia określonych rekordów, jeżeli mają one wysokie znaczenie dla użytkowników.
Zmianie ulega także sposób publikowania ocen nasilenia. o ile CVE Numbering Authority dostarczy własny wynik CVSS, NIST nie będzie automatycznie tworzył osobnej, równoległej oceny. Ograniczona zostanie również ponowna analiza rekordów po aktualizacjach, o ile zmiany nie wpływają istotnie na wcześniej przygotowane wzbogacenie.
Konsekwencje / ryzyko
Dla zespołów bezpieczeństwa nowy model ma zarówno zalety, jak i wyzwania. Największą korzyścią jest szybsze dostarczanie danych dla podatności, które realnie są wykorzystywane lub dotyczą systemów o szczególnym znaczeniu. Dzięki temu NVD może lepiej wspierać działania obronne tam, gdzie czas reakcji ma największe znaczenie.
Z drugiej strony organizacje mogą odczuć spadek kompletności danych dla dużej części pozostałych CVE. Ma to znaczenie zwłaszcza w środowiskach, które opierały swoje procesy automatyzacji na pełnych mapowaniach CPE, klasyfikacjach CWE i jednolitych ocenach CVSS dostarczanych centralnie przez NIST.
Ryzyko dotyczy także narzędzi oraz integracji, które zakładają obecność pełnego wzbogacenia każdego nowego wpisu. Braki w metadanych mogą utrudnić priorytetyzację, korelację zdarzeń, budowę raportów zgodności oraz ocenę wpływu na środowisko. W efekcie większego znaczenia nabierać będą alternatywne źródła danych i lokalny kontekst organizacji.
- Możliwe luki w automatyzacji procesów vulnerability management
- Wydłużenie analizy mniej priorytetowych CVE
- Większa zależność od danych producentów i zewnętrznych źródeł threat intelligence
- Potrzeba dostosowania narzędzi do rekordów oznaczonych jako „Not Scheduled”
Rekomendacje
Organizacje powinny potraktować tę zmianę jako sygnał do aktualizacji procesów zarządzania podatnościami. Priorytetyzacja oparta wyłącznie na kompletności danych z NVD przestaje być wystarczająca, dlatego konieczne staje się szersze podejście do analizy ryzyka.
Po pierwsze, katalog KEV powinien być traktowany jako jedno z najważniejszych źródeł priorytetyzacji. Podatności potwierdzone jako wykorzystywane w rzeczywistych atakach powinny automatycznie trafiać do najwyższego priorytetu remediacji.
Po drugie, warto uniezależnić ocenę ryzyka od pojedynczego źródła metadanych. Skuteczny proces powinien łączyć wpisy CVE, komunikaty producentów, biuletyny CERT, dane exploit intelligence oraz wiedzę o rzeczywistej ekspozycji zasobów w organizacji.
Po trzecie, należy sprawdzić, czy stosowane narzędzia skanujące, platformy ASM, systemy SIEM i rozwiązania do zarządzania podatnościami prawidłowo obsługują rekordy z ograniczonym zakresem danych. jeżeli nie, potrzebne mogą być zmiany w integracjach, parserach i logice korelacyjnej.
- Włączyć KEV do automatycznych reguł priorytetyzacji
- Łączyć dane z NVD z informacjami od producentów i CERT
- Przetestować obsługę statusu „Not Scheduled” w używanych narzędziach
- Rozwijać lokalne kryteria oceny ryzyka oparte na kontekście biznesowym
- Monitorować możliwość manualnego wnioskowania o wzbogacenie istotnych CVE
Podsumowanie
Zmiana priorytetów w NVD pokazuje, iż skala napływu nowych CVE wymusza bardziej selektywne podejście do analizy podatności. NIST koncentruje zasoby tam, gdzie ryzyko operacyjne jest najwyższe, czyli przy podatnościach aktywnie wykorzystywanych oraz dotyczących systemu krytycznego.
Dla obrońców oznacza to potrzebę dojrzalszego triage’u, lepszego wykorzystania kontekstu środowiskowego i mniejszej zależności od kompletności jednego źródła danych. NVD pozostaje kluczowym elementem ekosystemu bezpieczeństwa, ale jego rola ewoluuje w stronę modelu bardziej zorientowanego na ryzyko i efektywność operacyjną.
Źródła
- https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth
- https://www.nist.gov/itl/nvd
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://www.cisa.gov/known-exploited-vulnerabilities
- https://www.securityweek.com/nist-prioritizes-nvd-enrichment-for-cves-in-cisa-kev-critical-software/
